先交代背景

现在普遍的中转站的 Claude 涨价涨的挺猛的，据说原因是 OpenAI 那波大规模封号，连带着中转站的补货成本全跑上去了。我用 Claude Code 重构一个模块，十几块钱就没了。账单这东西，看一眼就烦。

然后上周跟死党 x 聊了聊这个事情，他走的是另外的路子，买的是闲鱼上的充个人账号的 Plus 会员账户，说是用着一点儿问题没有，还顺手截了个 GPT-4.1 写代码的窗口给我看。我看了一眼，说实话看不出和 Claude 有什么明显差距，日常够用，然后据说是包售后。

卧槽，一下给我干蒙了，这么便宜吗？因为很简单的道理，来看看官方的：

不细算，大概也是每月140元人民币左右吧？ 闲鱼个人卖家搞个人直充账号，还得搞定海外电话和支付信用卡，然后两三折再买给用户，是在做慈善吗？

低价的 Plus 是怎么来的？

后来完全出于好奇心，我花时间在 NodeSeek、linux.do 翻了不少帖子，拼出了完整的链路。

具体来说：这帮代充商用的是土耳其区 Apple ID。土耳其里拉这几年贬得厉害，当地 ChatGPT Plus 标价 499 里拉，折人民币大概 85 块。他们正常注册、正常付款，拿到一张真实的苹果内购收据。这一步完全合法，成本就是那 85 块。

问题在收据发出去之前。

正常流程是这样的：你手机付款→苹果下发一份 Base64 编码的收据→ChatGPT App 把收据和你的账号 Token 一起发给 OpenAI 服务器→OpenAI 找苹果核实收据真伪→通过后给你的账号升级。

这里有个坑：OpenAI 的后端接口在校验时，只检查「收据是真的、是苹果签的、已经付过钱」，但不检查「这张收据是不是已经给别人用过了」，更不检查「这张收据归属的 Apple ID 和你的 OpenAI 账号是不是同一个人」。

代充商用 Charles 或者 mitmproxy 在手机和服务器之间架一个代理，在 App 即将把收据发出去的那一刻，把请求截下来。收据就这样完好无损地留在了本地，没有和任何账号绑定。

之后买家来一个，代充商就把同一张收据配上买家的账号 Token，发一遍 OpenAI 的订阅接口。验证通过，账号变 Plus。买家改密码，Token 失效，但收据还在代充商手里，下一个买家继续用。

一张 85 块的票，收 25 块一次，充满 4 单回本，第 5 单开始纯赚。有人统计过那些店铺一天走 60 多单，流水过千，成本就那一张收据加一点脚本时间。

然后我翻了翻论坛，这个漏洞不是什么秘密。早在漏洞大规模被利用之前，OpenAI 社区里就有人提交过安全报告，指名道姓说 「Apple Pay 收据验证没有绑定购买者的 Apple ID，存在订阅绕过风险」。

链接在这：

https://community.openai.com/t/security-report-apple-pay-receipt-validation-does-not-bind-to-purchaser-apple-id-potential-subscription-bypass/1379167

OpenAI 为什么没有立即修？

有说法是个人 Plus 的订阅收入对他们来说体量不大，修复成本和优先级不匹配。

也有说法是现在 OpenAI 需要大量训练数据，同时在和同类产品抢人头，先培养用户习惯，等用习惯了再收紧这个口子。

当然了，这些都是猜测，具体为什么 OpenAI 官方明明知道有这么个漏洞，却放任不管，咱也不知道。不管什么原因吧，反正现状就是有这么个可以利用的渠道，所有催生了很多代充商。

但「现在懒得管」不等于「永远不管」，到今年5月前后，OpenAI 明显开始做系统回溯，拿着 transaction_id 重复使用的记录往前查，一查一串，一封一批。

隐患

其实掉会员是小事，即便代充商跑路没有保售后，无非也就损失几十块钱。

但代充流程里有一步我最不喜欢：你得把账号的 auth token 交给对方，或者直接给账号密码。改完密码 token 就失效了，理论上安全。但代充商用的那些脚本和代理工具，大多从不知名的渠道拿的，有没有在你改密码之前把数据额外存一份，你不知道。你的邮箱有没有被打包进什么灰色数据库，你也不知道。

你的 Claude Code 聊天记录、你的自定义 GPT、你存在里面的各种 prompt，如果账号被永封，全没了。

为了省 115 块，把账号控制权丢给一个闲鱼上的陌生人，算下来根本不划算。

写在最后

前两天，我死党 x 的账号被封了，然后闲鱼店铺都找不到了...，所以我就这个事情写了写，也是感觉挺有意思的吧，正好今天周末，就当水一篇文章了。

现在的话，想要使用Plus，我的建议是：

1、找熟人拼车。 拉三到四个信得过的朋友合租一个Plus账号，每人每月摊三十到四十块。但必须是真熟人，别去闲鱼找陌生人，到时候号被封了钱也要不回来，没人给你兜底。

2、自己开土区号。 花一个下午研究土耳其Apple ID注册和礼品卡充值，每月85块，官方直开，没有中间商。适合愿意折腾的人，嫌麻烦的就别碰。

3、直接买。 这是最保险的，每月160，相比他给我们程序员带来的价值，这个钱其实也是物有所值的。不过也是需要折腾，网上有很多教程，不赘述。

你怎么看？ 欢迎评论区留言！